Европейские стандарты по ПДн

Мне казалось, что я знаю почти все нормативные документы и особенно стандарты в области персональных данных. Но оказалось это не так. Как говорится, слона-то я и не заметил. Я писал про законы и стандарты в области ПДн США. Я писал про аналогичные документы АТЭС и ОЭСР. Я разбирал, что сделано в России. Я смотрел, что делает сейчас ISO. Я анализировал документы различных европейских стран, но… Я совершенно упустил из виду, что Европа — это не только самостоятельные страны, но и Евросоюз, как единое целое. И в Евросюзе есть такая организация, как CEN — Европейский комитет по стандартизации (аналог нашего Ростехрегулирования, BSI, NIST и других аналогичных организаций по стандартизации). И эта организация одной из первых разработала стандарты по персональным данным и их защите.

Собственно начал CEN свою работу в части ПДн не совсем стандартно. Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций. Идея CEN, зафиксированная в первых документах, звучит следующим образом: утечки персданных и иные нарушения прав субъектов могут разрешить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством. При этом обработка ПДн становится все сложнее, а обеспечение доверия становится важнейшей задачей при взаимодействии указанных выше сторон. Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом. Ну а дальше эта логика отражается в разработанных документах:

  • CWA 15262-2005. Inventory of Data Protection Auditing Practices. Документ описывает, что необходимо предоставить для эффективного и адекватного аудита ПДн в организации. Из особо интересного в этом документе я обнаружил список ссылок на готовые опросники, чеклисты и т.п. материалы всех стран Евросоюза и ряда других государств.
  • CWA 15263-2005. Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization. Здесь все понятно из названия.
  • CWA 15292-2005. Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide). Это пример договора между оператором и обработчиком ПДн.
  • CWA 15499-1-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) — Part I: Baseline Framework. Это базовый документ, в основу которого легли материалы PwC, описывает цикл PDCA применительно к теме персональных данных.
  • CWA 15499-2-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) — Part II: Checklists, questionnaires and templates for users of the framework. Вторая часть стандарта имеет более практическое значение. Это различные чеклисты и опросники, которые облегчают прохождение аудита. Если бы наши регуляторы подготовили бы что-нибудь аналогичные, уже не зря прожирали бы деньги налогоплательщиков.
  • CWA 16111-2010. Voluntary Technology Dialogue Framework (VTDF). Представить, что такой документ родится в России сложно. В его преамбуле написано примерно следующее. Требования по ПДн есть и они важны. Бизнесу может не хватать осведомленности в вопросах защиты прав субъектов ПДн и самих ПДн. Регуляторам может не хватать знаний о новых технологиях и потребностях бизнеса. Им нужен диалог и некоторые правила для того, чтобы диалог был продуктивным. VTDF и обеспечивает такие правила.
  • CWA 16112-2010. Self-assessment framework for managers. Этот документ разбит на две части. В первой описывает процесс самооценки процессов обработки ПДн со стороны руководителей подразделений и компаний. Вторая описывает ответственность менеджеров за процессы обработки ПДн, их роли и форматы участия в данных процессах и т.д.
  • CWA 16113-2010. Personal Data Protection Good Practices. Содержание этого документа тоже понятно из названия — это лучшие практики по обработке и защите ПДн. Интересно, что это, пожалуй, один из немногих стандартов по защите, где упоминаются DLP-решения.

Также к этим документам добавляется несколько Excel’овских форм, облегчающих решение описанных выше вопросов. Например, опросник для самооценки состояния защиты ПДн в организации. Сильно облегчает жизнь и не дает делать шагов в сторону на пути оптимального приведения себя в соответствие с требованиям Евроконвенции по защите прав субъектов ПДн.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Александр

    Вопрос конечно риторический, но спрашивается, что мешает нашим законодателям пойти по накатанной дорожке и воспользовавшись опытом европы для создания удобных, рабочих документов. А не писать какие-то общие мантры, для толкования которых появляются группы "вымогателей", которые пугают бизнес страшными регуляторами..

    Ответить
  2. Сергей

    "утечки персданных и иные нарушения прав субъектов могут разрушить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством".
    Про доверие наших граждан нашему государству скромно помолчу, а вот первое и второе — вопрос доверия = адекватности защиты должен решаться в рамках соглашений субъектов, а государство должно регулировать меру ответственности за его утрату=разглашение. Аудит — это оценка соответствия чему-либо. А вот это самое "чему-либо" у нас, к сожалению, мягко скажем не то.

    Ответить
  3. Unknown

    "Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций… Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом."

    Получается, что требования-то есть — они же принципы 😉

    Ответить
  4. VoronB

    Алексей, странное откровение. Часть из этих документов обсуждалась (точнее упоминалась) на прошедшем недавно форуме "ИТ-стандартизация 2011", участником коего были и Вы.

    Сергею — "Аудит — это оценка соответствия чему-либо" — Сдается мне, что АУДИТ, это не совсем ОЦЕНКА СООТВЕТСТВИЯ, а скорее ФИКСАЦИЯ состояния чего-либо, своего рода "фотография".
    "А вот это самое "чему-либо" …." — это уже другой вопрос, тут я согласен.

    Ответить
  5. Анонимный

    To Александр
    Давно уже думал об этом)
    Мой вывод — имхо, никто не ставит себе как цель "создания удобных, рабочих документов" (кроме группы энтузиастов от ИБ;-)).
    Ну и для этого вам обоснуют, что угодно. Читал как-то мнение суперэкспертов, про то, что и почему нам не подходит в определениях евроконвенции и евродериктивы по Пдн.
    В двух словах, мы пойдем другим путем, как обычно. Вот и зашли туда, где сейчас находимся (.
    Но, безусловно, масса людей, (которых вы назвали вымогатели:-)) довольна положением дел и считает, что мы далеко продвинулись в теме Пдн.

    Ответить
  6. Алексей Лукацкий

    Алексей, принципы есть. Но они в Конвенции 😉

    Ответить
  7. Алексей Лукацкий

    VoronB: Для меня это было откровение. Я после этой конфы и стал копать. И раньше эти стандарты почти нигде и никогда не упоминались у нас.

    Ответить
  8. Unknown

    А учитывая их формулировки в Конвенции можно сказать, что это то еще "дышло"…

    Ответить